مروري بر کارت های هوشمند
توسط مدیر مروري , کارت , های , هوشمند با 0 نظرچکیده
کارت هوشمند ، یکی از مهمترین ابزارهاي تصدیق کاربر و ذخیره اطلاعات محرمانه است و در طراحی آن از الگوریتمهاي رمزنگاري استفاده میشود. امروزه در بسیاري از کاربردهایی که نیاز به نگهداري و انتقال امن اطلاعات و دادهها، کنترل دسترسی به سیستمهاي رایانهاي و نیز کنترل دسترسی فیزیکی به محیطهاي خاص بهعنوان کلید الکترونیکی وجود دارد، از کارتهاي هوشمند استفاده میشود. مهمترین علل محبوبیت کارتهاي هوشمند اندازه کوچک، مقاوم بودن در برابر دستکاري و قابل حمل بودن آنهاست .
مقدمه
تاریخچه استفاده از کارتهاي پلاستیکی براي شناسایی افراد به حدود سال 1950 بر میگردد. در آن زمان فقط از بدنه پلاستیکی کارت به سادگی براي نوشتن نام و مشخصات دارنده کارت بهصورت حروف برجسته استفاده میشد و کارت نقشی شبیه به کارتهاي اعتباري امروزي ایفا میکرد. پیشرفت در زمینه استفاده از کارتها، با ایجاد نوار مغناطیسی بر روي کارت که توسط ماشین مخصوصی قابل خواندن و نوشتن بود، سرعت گرفت و وارد مرحله جدیدي شد . با وجود محبوبیت این نوع کارتها در صنعت بانکداري و امور مالی- اعتباري، سطح امنیتی ارائه شده توسط کارتهاي مغناطیسی پایین بود. در نتیجه با پیشرفت تکنولوژي نیمه هادي، نسل سوم کارتها یعنی کارتهاي هوشمند پا به عرصه وجود نهاد.
انواع کارتهاي هوشمند :
بر اساس نوع تراشه به کار رفته در کارت و نحوه ارتباط بین کارت و کارتخوان ، رده بنديهاي مختلفی براي کارت هوشمند وجود دارد .
الف) تقسیم بندي کارتها بر حسب نوع تراشه
کارتهاي حافظه اي( cards memory )
در کارتهاي حافظهاي ، تراشه توانایی پردازش و مدیریت اطلاعات را ندارد و فقط دادهها، از طریق پروتکلهاي همزمان با کارتخوان، انتقال داده میشوند. کارت تلفن، کارت پارك اتومبیل، کارت بلیط الکترونیکی مترو و اتوبوس و ... نمونهاي از کارتهاي حافظهاي هوشمند هستند.
کارتهاي ریزپردازنده ( Cards Multifunction Microprocessor )
در این نوع از کارتهاي هوشمند، تراشه توانایی پردازش و مدیریت اطلاعات را دارد. براي این کار یک تابع یا نرمافزار خاص در تراشه ریزپردازنده، براي مدیریت 6 دادهها از طریق سیستم عامل کارت قرار میگیرد. کارتهاي بانکی، کارت سوخت و سیمکارت، نمونههاي بارز از این کارتها هستند.
ب) تقسیم بندي کارتها بر حسب روش ارتباط بین کارت و کارتخوان
کارت هوشمند تماسی (Card Smart Contact)
در این نوع کارتها، ارتباط کارت با کارتخوان از طریق اتصالات الکتریکی که روي بدنه کارت وجود دارد برقرار میشود. استانداردهاي 7816 IEC/ISO و IEC7810/ISO استانداردهاي 1 Smart Cards 2Tamper-Proof 3Embossed 4Magnetic Stripe 5Reader 6Card OS تدوین شده براي این نوع کارتها هستند. کارت سوخت، گواهینامههاي هوشمند و سیمکارت نمونهاي از کارتهاي تماسی هستند.
کارت هوشمند غیرتماس (Card Smart Contactless)
در این نوع کارتها، سیگنال لازم و تغذیه تراشه کارت به جاي اینکه از اتصالات روي بدنه کارت تأمین شود با القاء سیگنالها از طریق امواج الکترومغناطیسی و رادیویی ( Radio RFID : Identification Frequency (به کارت صورت میگیرد و بین کارت و کارتخوان اتصال فیزیکی برقرار نمیشود. کارتهاي غیرتماسی اغلب از دو نوع استاندارد 14443/ISO و ISO693 استفاده میکنند و در کاربردهایی چون کنترل ترافیک در بزرگراهها، پارکینگها و بلیط الکترونیکی اتوبوس و مترو بهکار گرفته میشوند.
استانداردهاي کارت هوشمند
- استانداردهاي : IEC/ISO مهمترین استانداردها در زمینه کارت هوشمند توسط سازمان بینالمللی استاندارد، (ISO( با همکاري کمیسیون بینالمللی صنایع الکترونیکی، IEC تدوین شدهاند. استاندارهاي IEC/ISO موجود در مورد کارتهاي تماسی بهطور خلاصه شامل بندهاي یکم الی شانزدهم استاندارد 7816 IEC/ISO بوده و در مورد کارتهاي .است ISO/IEC 15693 و ISO/IEC 14443 ،ISO/IEC 10536 استاندارد سه شامل غیرتماسی
- استانداردهای CEN ( کمیته اروپایی استاندارد )
- استانداردهای EMV
- استانداردهای ETSI
- استاتداردهای GSM ( بیشتر مربوط به استانداردهای سیم کارت SIM )
- استاندارد GLOBAL PLATFORM
مباحث رمزنگاري
الف- زیرساخت کلید عمومی PKI
یکی از موارد بهرهگیري از کارتهاي هوشمند، استفاده از آنها براي فعالسازي سازوکارهاي مرتبط با ارائه اعتماد مبتنی بر زیرساخت کلید عمومی در سازمان و نیز نگهداري زوج کلیدهاي کاربران است. از این رو، این دسته از کارتها باید امکانات مورد نیاز براي تولید کلیدهاي رمزنگاري، انجام فرایندهاي رمزنگاري، تولید امضاي دیجیتال و ارتباط با نرمافزارهاي مجهز به زیرساخت کلید عمومی را در اختیار کاربران قرار دهند.
براي ارائه سطح مطلوب کارکردي و امنیتی در حوزه رمزنگاري مورد استفاده در زیر ساخت کلید عمومی، استانداردهاي FIPS 2-140 و بخش پانزدهم 7816 IEC/ISO باید توسط کارتهاي هوشمند پشتیبانی شوند.
ب- الگوریتمهاي رمزنگاري
از طرفی براي رمزنگاري اطلاعات در کارتهاي هوشمند از الگوریتمهاي رمزنگاري از قبیل RSA ،DES ،AES و ... که در آنها مولدهاي اعداد تصادفی و توابع یکطرفه چکیدهساز بهکار گرفته شده است، استفاده میشود.
ج - حملات کانال جانبی
پیادهسازي الگوریتمهاي رمزنگاري در سامانههایی مانند کارت هوشمند، منجر به نشت اطلاعات حساسی از مقادیر میانی الگوریتم میشود. این اطلاعات حساس از طریق کمیتهاي فیزیکی موسوم به کانال جانبی نشت میکند و میتواند اطلاعات مخفی سامانه را آشکار سازد. کارت هوشمند و سایر سامانههاي رمزنگاري باید بهگونهاي طراحی شوند که در برابر این تحلیلها مقاوم باشند. از انواع حملات کانال جانبی، میتوان به موارد زیر اشاره کرد
- حمله تحلیل خطا
- حمله تحلیل زمانی
- حمله تحلیل توان
- حمله تحلیل تشعشعات مغناطیسی و ....
چالشهاي استفاده از کارت هوشمند در کشور
با توجه به گسترش روز افزون استفاده از کارتهاي هوشمند در داخل کشور، تقریباً هر روز شاهد ارائه سرویسهاي جدید امنیتی مبتنی بر کارت هوشمند هستیم. اما آنچه که در حال حاضر، فرایند رشد و گسترش استفاده از کارتهاي هوشمند را مورد تهدید قرار میدهد، عدم وجود نظارت نظاممند و سازمان یافته بر فرایند تولید، توزیع و بهرهگیري از این دسته محصولات است.
باید توجه داشت که براي اطمینان از ارائه سطح مطلوب امنیتی توسط کارتهاي هوشمند، علاوه بر انجام آزمونهاي فیزیکی و کارکردي، بایستی آزمونهاي امنیتی مختلفی نیز بر روي آنها انجام شود. از جمله آزمونهاي مهمی که باید بر روي کارتهاي هوشمند انجام شوند و هم اکنون هیچ مرجعی در کشور، متولی انجام آنها نیست، عبارتند از:
- آزمونهاي کارکرد کارت هوشمند مبتنی بر استانداردهاي IEC/ISO
- آزمونهاي امنیت ماژولهاي رمزنگاري براي کارت هوشمند
- آزمون ارزیابی امنیتی کارتهاي هوشمند
- ارزیابی مقاومت کارتهاي هوشمند در برابر حملات کانال جانبی
در حال حاضر، مرکز تحقیقات صنایع انفورماتیک، بهعنوان متولی تدوین شاخصهاي ارزیابی کارتهاي هوشمند و انجام آزمونهاي مزبور، آمادگی ارائه مشاورههاي لازم براي نیل به سطح مطلوب امنیتی و کارکردي در حوزه کارتهاي هوشمند را به سازمانها و فعالان حوزه فناوري اطلاعات دارد.
نتیجه گیري کارتهاي هوشمند از جمله متداولترین و در عین حال حساسترین ابزارهاي تصدیق کاربر و ذخیرهسازي اطلاعات سري هستند. استفاده از کارتهاي هوشمند در حوزههاي بسیاري افزایش چشمگیري داشته است. سیمکارت و کارتهاي بانکی، نمونههایی هستند که نشان میدهند تا چه حد این فناوري زندگی امروزه مردم جهان را تحت تأثیر قرار داده است. در این مقاله، به اختصار به معرفی کارتهاي هوشمند، دسته بندي، استانداردها و مباحث رمزنگاري مربوط به آن پرداختیم.
مراجع :
م. ریحانی تبار، "حمله به کارتهاي هوشمند با استفاده از اطلاعات نشتی"، کارشناسی ارشد: دانشگاه صنعتی شریف، 1381. [
ج. باقر زاده، "تحلیل توانی کارت هوشمند"، کارشناسی ارشد: دانشگاه صنعتی شریف، 1391 .
محقق و نویسنده : آقای علی محمودي
نظر (0)